Ce moment où la cybersécurité tient à un post-it

Un scénario malheureusement classique

Imaginez la scène : un nouveau collaborateur arrive dans l’entreprise, c’est son premier jour. Et le service IT qui est là pour lui donner ses outils de travail (pc, téléphone…) lui donne son mot de passe d’ouverture de session… sur un bout de papier (je pourrais dire “post-it” mais il paraît qu’il ne faut pas citer de marques…).

Alors ça peut faire sourire : le budget de plusieurs dizaines voire centaines de milliers d’euros consacré chaque année à la cyber-sécurité, en achats de firewalls dernier cri, en pen-testing, en mise à jour antivirus, en suivi des mises à jour critiques des systèmes… tout ça fragilisé par un mot de passe inscrit sur un petit papier.

Evidemment ce n’est pas aussi simple : vous gérez évidemment correctement les paramétrage de sécurité sur votre infrastructure Active Directory ou LDAP, donc l’utilisateur devra changer son code d’accès à la première connexion, l’identifiant inscrit sur le post-it est donc un mot de passe à usage unique, ce qui limite le risque de fuite de ce dernier.

Des conséquences lourdes en termes de risque IT

Il n’empêche que malgré les précautions prises, ce mode de fonctionnement pose 2 problèmes :

• L’utilisateur perçoit un message dramatique sur le niveau de sécurité. Même si le risque est faible, ça le fait bien marrer de se voir communiquer ce mot de passe sur un petit bout de papier. Ne connaissant pas les finesses techniques, il n’aura aucun scrupule à transmettre lui aussi des mots de passe par post-it tout simplement parce que “même l’IT le fait”.
• Si jamais “quelqu’un” (une personne de votre service IT) a décoché la case “exiger le changement de mot de passe à la prochaine connexion” sur votre Active Directory, c’est toute la chaîne de sécurité qui est en danger : l’utilisateur gardera son code d’accès inscrit sur son post it, et comme il est complexe, il est impossible à retenir donc le petit bout de papier rose restera sur le bureau de l’utilisateur (ou plutôt sur son écran parce que c’est plus facile à lire le matin)…

On peut faire une petite étude rapide : passez le soir après le départ de tout le monde et jetez un œil sur les bureaux des utilisateurs : je parie que vous retrouvez un “papier-password” collé sur un écran sur dix.

On se rassure : des solutions de transmission de mot de passe existent

J’ai beau demander à tous les DSI que je rencontre, personne n’a de solution “miracle” pour communiquer un mot de passe de manière sécurisée. Chacun est à la recherche de solutions de sécurité informatique pour son entreprise mais il n’y a pas de réponse évidente à cette problématique.

Écrire (ou imprimer) un identifiant sur papier n’est évidemment pas le meilleur moyen pour communiquer un mot de passe. Certains services IT ont donc mis en place plusieurs stratégies :

• L’envoi par mail : problème, comme le collaborateur n’a pas encore accès à sa boîte mail professionnelle, il faut lui envoyer sur sa boîte mail personnelle. Mais le jour de l’arrivée du collaborateur, soit il n’a pas accès à sa boîte mail personnelle, soit il a imprimé le mail contenant le mail, donc retour au postit…
• L’envoi par SMS : si l’utilisateur dispose d’un portable personnel et que l’IT dispose du numéro, c’est une des méthodes les plus sécurisées pour transmettre un mot de passe. Evidemment il faut que l’utilisateur soit obligé de changer son mot de passe à la première connexion. C’est par exemple, la solution que nous avons choisi chez Youzer.
• Le mot de passe unique temporaire : tout le monde le connaît, il est facilement communicable oralement et il permet à l’utilisateur de se connecter facilement. Là encore, la modification à la première connexion est impérative
• Le mot de passe généré sur la base de données personnelles de l’utilisateurs (date de naissance, n° de sécurité sociale…). L’avantage de ce type de mot de passe c’est que sa transmission est protégé : c’est le mode de génération du mot de passe qui est transmis et pas le mot de passe lui-même, il faut donc connaître des données personnelles de l’utilisateur pour “reconstituer” le mot de passe (relativement facile mais nécessite un petit travail de recherche).
• La transmission d’un code d’accès indirect : le service pwpush permet ainsi de transmettre un code/lien permettant lui-même d’avoir accès au réel mot de passe avec quelques restrictions : par exemple après 2 ou 3 visualisations ou 48 heures, le mot de passe devient définitivement inaccessible.

Alors, comment gérer au mieux cette communication des identifiants ?

Je rappelle l’importance de respecter les principes suivants :

1. Utiliser le téléphone mobile de l’utilisateur pour communiquer l’identifiant principal (celui pour se connecter à la messagerie).
2. Utiliser la messagerie professionnelle pour communiquer les identifiants suivants.
3. Ne pas utiliser des identifiants partagés (ça paraît évident mais c’est toujours important de le préciser).

Et bien sûr, il faut éduquer, former, sensibiliser… car c’est l’utilisateur final qui est le propre garant de ses identifiants. La sensibilisation à la sécurité des mots de passe est aussi l’affaire de tous mais c’est à l’entreprise d’introduire les bonnes pratiques et ce dès le premier jour.
Et vous quelles sont vos méthodes de transmission du mot de passe aux nouveaux arrivant dans votre entreprise ?
Avez-vous mis en place un guide ou une sensibilisation à la sécurité informatique ?